Новости и события » Общество » Представлен способ превращения антивирусов в инструмент для самоуничтожения

Представлен способ превращения антивирусов в инструмент для самоуничтожения

Представлен способ превращения антивирусов в инструмент для самоуничтожения

Специалисты компании RACK911 Labs продемонстрировали, как с помощью символических ссылок (directory junction на Windows и symlink на macOS и Linux) можно превратить практически любое антивирусное решение в инструмент для самоуничтожения.

Большинство антивирусных решений работают по одной схеме: при сохранении неизвестного файла на жесткий диск компьютера антивирус сканирует его в реальном времени. Если файл признается подозрительным, он либо отправляется в "карантин" - защищенное место, где ожидает дальнейших действий пользователя, либо удаляется. В связи с характером проводимых операций антивирусное ПО как правило обладает на системе наивысшими привилегиями, что, по словам специалистов RACK911 Labs, "открывает двери для широко спектра уязвимостей в безопасности и неопределенностей параллелизма" (так называемое "состояние гонки" или race condition).

Как сообщают исследователи, в большинстве антивирусных решений не учитывается небольшой зазор времени между сканированием файла и дальнейшими действиями с ним. Локальный злоумышленник или вредоносное ПО может вызвать неопределенность параллелизма с помощью символических ссылок и, воспользовавшись привилегированным статусом действий с файлом, отключить антивирусное ПО или сделать его полностью бесполезным.

Исследователи смогли успешно удалить важные файлы антивирусного ПО на компьютерах под управлением Windows, macOS и Linux, сделав его бесполезным, и даже удалить ключевые системные файлы и тем самым вызвать серьезные повреждения, потребовавшие переустановки ОС.

По словам исследователей, осуществить представленную ими атаку очень просто, и бывалый хакер справится с ней без труда. Самое сложное - определить точное время, когда нужно выполнить directory junction или symlink. В данной атаке тайминг играет ключевую роль, поскольку опоздание даже на одну секунду сделает эксплоит бесполезным. Однако в случае с некоторыми антивирусными решениями тайминг не имел никакого значения, и для запуска их самоуничтожения было достаточно закольцевать запуск эксплоита.

Компания RACK911 Labs начала рассылать уведомления затронутым вендорам осенью 2018 года, и большинство из них, за небольшим исключением, уже исправили уязвимость.


«Google Фото» будет помечать изображения, сгенерированные ИИ

«Google Фото» будет помечать изображения, сгенерированные ИИ

Метка о создании или редактирования изображения при помощи ИИ, будет появляться, при наличии соответсвующей отметки в метаданных файла. «Google Фото» добавят в «Свойства» изображений новый раздел «Информация об ИИ», в котором будет располагаться пометка,...

25 октября 2024

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх